史一鳴， 吳木林， 鄭 欣

(安徽商貿(mào)職業(yè)技術學院 經(jīng)濟貿(mào)易系， 安徽 蕪湖 241002)

虛擬企業(yè)成員信息安全勝任評價模型

史一鳴， 吳木林， 鄭 欣

(安徽商貿(mào)職業(yè)技術學院 經(jīng)濟貿(mào)易系， 安徽 蕪湖 241002)

在分析成員間內(nèi)部信息攻擊行為的特點及勝任特征的基礎上，構(gòu)建了虛擬企業(yè)成員信息安全勝任特征評價指標體系和勝任特征評價模型。模型基于安全風險防范思想，將評價分為兩個環(huán)節(jié)，綜合考慮了決策者制定決策偏好和候選成員的個性優(yōu)勢，更實際地反映了候選成員間的差別。案例分析驗證了該評價模型的有效性和實用性。

虛擬企業(yè)成員； 評價; 模型; 信息安全

0 引 言

虛擬企業(yè)是一種新興的組織形式，在世界經(jīng)濟一體化與信息技術革命的大背景下已成為企業(yè)的現(xiàn)實選擇。虛擬企業(yè)具有對市場需求高度敏感性、企業(yè)邊界模糊、能力專門化、高度的流動性和靈活性、利潤共享風險共擔、以發(fā)達的信息網(wǎng)絡為基礎等一系列新的特點，但同時也給企業(yè)帶來了一些新的風險，如核心技術泄露、成員信任危機等。虛擬企業(yè)是一種網(wǎng)絡式的聯(lián)盟，其中信息可以在聯(lián)盟成員之間充分地共享，但隨著信息技術應用在廣度和深度上的快速推進，信息安全問題日益凸顯。信息系統(tǒng)的安全問題涉及到國家和信息用戶的根本利益[1-3]。與此同時，信息泄露事件頻發(fā)，信息系統(tǒng)所面臨的安全風險日趨嚴重。近年來，越來越多的實證表明虛擬企業(yè)內(nèi)部聯(lián)盟信息系統(tǒng)與信息管理的安全問題是信息系統(tǒng)所面臨的主要安全風險[4]，美國FBI(Federal Bueau Investigation)的相關評估報告顯示80%的攻擊和入侵行為來自組織內(nèi)部，與此同時,一些研究顯示內(nèi)部信息安全防范并未得到足夠的重視[5]。內(nèi)部攻擊可分為主觀故意攻擊行為和無意識攻擊行為，其中主觀故意攻擊行為源于內(nèi)部成員基于特定目的利用其對組織和信息系統(tǒng)熟悉及工作之便，對信息系統(tǒng)的數(shù)據(jù)進行破壞、欺詐和竊?。粺o意識行為則是組織成員信息安全防范的知識和技能缺乏，或是主觀上感知偏差、判斷失誤等造成的信息安全破壞行為[6-8]。因此,需對虛擬企業(yè)內(nèi)部信息系統(tǒng)與信息管理成員加以科學的甄別和評價，找到能夠勝任信息安全職責的成員，消除成員的內(nèi)部攻擊行為，從而實現(xiàn)從源頭上確保信息系統(tǒng)安全態(tài)勢評估技術，通過信息系統(tǒng)安全態(tài)勢評估，發(fā)現(xiàn)信息系統(tǒng)的脆弱性和所面臨的威脅，并分析安全事故發(fā)生的可能性和后果，從而掌握系統(tǒng)安全態(tài)勢，評估的方法包括模糊數(shù)學、神經(jīng)網(wǎng)絡、貝葉斯網(wǎng)絡、粗糙集等方法[9-10]。借助這些方法建立了信息系統(tǒng)安全風險評估模型，但很少有文獻涉及到成員信息安全方法方面。針對上述研究中存在的不足，將虛擬企業(yè)成員信息安全勝任特征加入內(nèi)部成員甄別和綜合評價分析中，建立虛擬企業(yè)內(nèi)部成員信息安全勝任特征評價模型，為虛擬企業(yè)成員的合理選擇，防范內(nèi)部攻擊提供科學參考依據(jù)。

1 虛擬企業(yè)內(nèi)部成員信息安全勝任特征分析

最早在1973年發(fā)表的“Testing competence rather than intelligence”一文將勝任特征界定為：與工作或生活中的重要職能直接相聯(lián)系的知識、能力、特質(zhì)或動機[11]。目前，勝任特征的研究主要集中在管理職能的勝任特征，比如Spencer[12]等建立的勝任特征洋蔥模型，此模型對勝任特征的研究深入到了更加系統(tǒng)與全面的層次，此外管理者勝任特征模型的建立者Boyatzis提出了可以延伸至各個部門的6個方面的勝任力及19個子勝任特征，對今后的勝任力研究奠定了基礎[13]。上述兩個模型主要涵蓋了人格/動機、特質(zhì)/自我形象、態(tài)度、知識/技能等4個方面，文中以此為分析框架，通過內(nèi)部攻擊行為特點分析進行勝任特征構(gòu)建。由于內(nèi)部攻擊源于主觀故意攻擊行為和無意識攻擊行為兩類差異較大的行為，因此對虛擬企業(yè)成員勝任特征的構(gòu)建也需要從上述兩個視角進行，其中,具有潛在主觀故意攻擊行為的成員很大程度上源于其動機，可以從負面人格特質(zhì)進行甄別，一些研究表明,負面人格特質(zhì)引發(fā)的破壞性行為導致個體失敗，且負面人格特質(zhì)與任務績效、關聯(lián)績效、整體績效有關聯(lián)關系，可以辨識產(chǎn)生偏差行為和主觀故意攻擊行為[14]；而無意識攻擊行為主要表現(xiàn)為信息安全知識、技能和工作態(tài)度的缺乏，判斷依據(jù)為知識/技能和態(tài)度兩方面的勝任特征，因此相關的勝任特征確立如下：從虛擬企業(yè)內(nèi)部確保信息的真實性，同時靈活、有效地應對各類軟件硬件故障的需求來看，需要內(nèi)部成員同時具備較高的知識水平，知識水平包括專業(yè)知識的掌握情況、學習能力、開發(fā)經(jīng)驗總結(jié)能力、對相關信息收集整理能力等；從組織內(nèi)部信息保密性、完整性等要求來看，內(nèi)部成員需要具備較好的工作態(tài)度，即判別依據(jù)為態(tài)度這一方面的勝任特征，具體包括主動性、誠信、嚴格自律、任務導向等。另外，信息安全崗位需及時、靈活應對各類威脅信息安全的行為，工作壓力較大、強度高，需要后選成員具有較好的專業(yè)素質(zhì)，判別依據(jù)為特質(zhì)/團隊意識這一方面的勝任特征，包括團隊精神、體制、氣質(zhì)等。綜上所述，結(jié)合已有文獻對崗位勝任特征進行較全面的總結(jié)，組織內(nèi)部員工信息安全勝任特征可歸為5個方面：負面人格特質(zhì)、知識水平、團隊意識、工作態(tài)度和專業(yè)素質(zhì)。

表1 虛擬企業(yè)成員勝任特征評價模型

2 虛擬企業(yè)內(nèi)部成員信息安全特征評價模型

根據(jù)虛擬企業(yè)內(nèi)部成員信息安全特征評價的內(nèi)容，評價涉及多項評價指標和綜合評價，其中集成加總一般包括賦權和加總模型兩個部分：賦權一般包括客觀賦權法、主觀賦權法和主客觀相結(jié)合賦權法三類[15]，基于勝任特征評價具有競爭、選拔的功能，采取了基于個性優(yōu)勢的賦權法，該方法屬于客觀賦權法，一方面能夠避免主觀因素介入導致的隨意性，另一方面還給予了被評價對象體現(xiàn)自身競爭優(yōu)勢和成績的優(yōu)勢，體現(xiàn)公平競爭的原則[16]；加總模型采用了Lp-metric的聚合函數(shù)的VIKOR法，該方法與常用的TOPSIS方法相比，避免了TOSIS方法排序過程中存在的缺點，最大化了群體效用且提供了多種加總方式，更易為決策者介紹[17]。

虛擬企業(yè)內(nèi)部成員信息安全勝任特征評價模型建模過程如下：

步驟1：初步篩選。依據(jù)剛性評價指標，即必須滿足的評價指標，對候選成員進行初步篩選，從而得到可行的m(m

步驟2：確定勝任特征的權重。在評價問題中，權重系數(shù)是一個十分關鍵的因素，在實際應用中具有重要的指導意義，代表了人們對綜合評價的價值取向。在內(nèi)部信息安全成員組成和建設過程中，需對候選成員進行評比、選拔，這都屬于綜合評價問題。在綜合評價過程中的權重設置環(huán)節(jié)給予候選成員發(fā)出自己的聲音，表達自身優(yōu)勢和成績的機會，并在其中予以體現(xiàn)，能夠更好挖掘候選成員的相關信息，體現(xiàn)公平競爭的原則，建立最能體現(xiàn)自身競爭優(yōu)勢的價值來表達優(yōu)勢和成績。由此，文中從被評價對象“最大化自身利益”的角度出發(fā)，借助候選員工的個人勝任評價信息構(gòu)建個性識別模型進行評價對象ri的個性優(yōu)勢識別，進而得到代表候選員工的權重向量Wi。具體過程如下：

對于m個候選成員，n個勝任特征評價指標得到的評價結(jié)論(評價值)用矩陣R表示，即：

(1)

(2)

當評價指標Lj為最小化指標時，其計算方法為：

(3)

把所有評價指標的理想值集中到一起，就得到一個最優(yōu)解，反之，將所有評價指標的負理想值集中到一起，得到一個最差解。

2)確定代表候選成員的權重向量Wi。候選成員表達自身的利益訴求，通過建立自身的價值取向，影響最終的評價結(jié)果，其表現(xiàn)形式為選取對其有利的權重設置方案，由于VIKOR同樣為基于距理想點法思想的加總方法，因此當某個評價對象的評價指標值距理想點的距離有明顯優(yōu)勢時，應相應地增大評價指標權重，這對該評價對象而言能夠顯著提高綜合評價結(jié)論，對其最為有利，因此基于這一思想，對ri而言將其權重向量的個體識別模型設定為：

(4)

步驟3:計算最終價值Di。Ii=(I1,I2,…,Il)表示第i候選成員在m組權重向量下的評價值。Di代表了在所有權重取值下的評價值，其計算公式如下：

(5)

式中:I=(I1，I2，…,Ii)表示第i個候選成員的最終評價值;S=(S1，S2，…,Sl),R=(R1，R2，…,Rl)分別為候選成員的各項勝任評價指標的評價值與相應的正負理想值的相對接近度，v一般取0.5。v大于0.5時，表示根據(jù)大多數(shù)決議的方式制定決策；v接近0.5時，表示據(jù)贊同情況制定決策；v小于0.5時，表示根據(jù)拒絕的情況制定決策。S+為群體最大效用，R+為最小個別遺憾。

步驟4:候選成員排序。按Di的值從小到大進行排序，得到候選成員優(yōu)先排列序列，序列中排在前面的候選成員優(yōu)先于排在后面的候選成員。

3 案例分析

某制造企業(yè)加大了信息化投入，但由于自身技術資源的不足，需選擇虛擬企業(yè)合作伙伴的加盟合作。為了確保信息安全，需對涉及信息安全的12個成員進行篩選。文中借助此案例進行模型有效性的驗證，第一步是對負面人格特質(zhì)進行初步篩選，評判結(jié)果見表2。

表2 負面人格特質(zhì)評價結(jié)果

由表2可以看出，候選成員3和候選成員7均值表現(xiàn)為重度負面人格特質(zhì)而被篩掉，候選成員1和候選成員4由于單項指標表現(xiàn)為重度負面人格特質(zhì)而被篩掉，經(jīng)過初步篩選最后剩余的候選人為8人。

經(jīng)過篩選后，分別針對每個勝任特征所涉及的內(nèi)容從不同的角度設計測量條目，采用10點式利克特量表，讓被測試者給出對每個條目的同意程度，打分時選的數(shù)字越大表示越贊同，1分為最低分，表示非常不贊同該勝任特征，10分為最高分，表示非常贊同該勝任特征，從而得到了8名成員在4項勝任特征上的得分，打分結(jié)果見表3。

表3 勝任特征評價結(jié)果

步驟1：確定正理想解和負理想解。在4項勝任特征指標中，全部為最大化指標，越大越好，即收益型準則。根據(jù)式(2)分別計算勝任特征指標的正理想解和負理想解，結(jié)果見表4。

表4 勝任特征評價指標的正理想解和負理想解

步驟2：確定權重設置方案。根據(jù)候選成員各項評價指標取值情況，根據(jù)式(3)得到集成候選成員意見的權重向量，見表5。

表5 權重設置方案

由表5可知，以候選員工2為例，其權重設置方案(及權重系數(shù))中第一項(知識水平)取值為0.641，說明其最大的個性優(yōu)勢特征體現(xiàn)該勝任特征指標上，在這個指標上，其他的7個候選成員都與其有較大的差距，具有絕對優(yōu)勢。從中不難看出，權重設置方案揭示了候選成員的個性優(yōu)勢特征，決策者可以根據(jù)個性優(yōu)勢的差別，結(jié)合對候選成員的個性偏好，輔助步驟3得到的最終評價價值進行相關的決策。

步驟3：候選成員最終評價值。決策偏好根據(jù)贊同情況制定決策，因此將決策機制系數(shù)設為0.5，由式(4)得到最終評價值為：

P1={ 0.569,0.587,0.269，0.378，

0.901,0.644,0.410,0.496}

為了對文中方法(P1)結(jié)果進行對比分析，利用TOSIS方法對候選成員進行了綜合評價，評價過程中權重采用了基于信息熵的權重設置方案(P2)。引入信息熵的權重設置方案主要是考慮到文中的權重設置方案與基于信息熵的權重設置方案兩種方案均為客觀賦值法，便于比較方法的特點。最終結(jié)論見表6。

表6 勝任評價結(jié)果

由表6可知，文中方法與作為對比的方法有較大差別，盡管在最佳候選成員識別上二者相同，但其后成員認定均不相同，且從文中評價結(jié)果上看,排序第一的候選成員2與其后的候選成員7和候選成員9差距明顯，而作為對比的方法則三者差別很小，幾乎可以忽略不計，差別主要來自兩個方面:一方面權重設置方案的差異，方法P1的權重設置方案較多地考慮了個性優(yōu)勢差異，方法P2則更多地考慮評價指標所承載的信息量；另一方面，文中方法結(jié)合決策者制定方式多樣性的實際特點，借助Lp-metric聚合函數(shù)，更加科學全面地對指標進行加總。從前述的分析可以得知，文中方法綜合考慮了決策者制定決策偏好和候選成員的個性優(yōu)勢，更實際地反應了候選成員間的差別。最后依據(jù)最終評價結(jié)論排序，結(jié)合候選成員的優(yōu)勢勝任特征，本實例中候選成員7,8,11為優(yōu)先考慮對象。

4 結(jié) 語

針對虛擬企業(yè)內(nèi)部成員信息安全勝任評價問題，在分析內(nèi)部信息攻擊行為的特點以及全面總結(jié)勝任特征相關研究成果的基礎上，構(gòu)建了內(nèi)部成員信息安全勝任特征評價指標體系，這為設計信息安全的內(nèi)部成員的科學規(guī)范選拔、配置奠定了基礎，在此基礎上構(gòu)建了內(nèi)部成員信息安全勝任特征評價模型。模型將勝任評價環(huán)節(jié)分為兩個階段，首先排除了具有顯著負面人格特質(zhì)的成員，其次對余下的勝任特質(zhì)進行綜合評價，評價過程中一方面通過引入優(yōu)勢識別思想強化了對原始指標數(shù)據(jù)深層信息的挖掘，實現(xiàn)對候選成員個體優(yōu)勢識別，據(jù)此形成權證設置方案，與常用的AHP方法、熵權法等賦權方法相比，尊重了每位被評價者的意見，形成的結(jié)論更易為被評價者接受，避免了評價排名作為最終結(jié)果未能揭示勝任評價的內(nèi)在規(guī)律的弊端，提高了評價模型的實用性，另一方面VIKOR方法提供了3種新的指標加總方法供決策者選擇，克服TOPSIS,PROMETHEE等方法加總方式單一，未考慮決策者制定方式多樣性的不足，更實際地反應了候選人的差別。最后利用某企業(yè)的挑選虛擬企業(yè)合作伙伴的內(nèi)部成員信息安全勝任遴選為例，對提出的勝任評價模型進行了案例分析，結(jié)果表明，文中模型具有可操作性和實用性，可以為用戶合理遴選、評價涉及信息安全的虛擬企業(yè)合作伙伴提供有效的借鑒。

[1] Jouko Karjalainen. Tero haahtela, pekka malinen and vesa salminen, profit an risk sharing in a virtual enterprise[J]. International Journal of Innovation an Technology Management,2004,1(1):75-92.

[2] Huang M, Ip W H, Yang H M, et al. A fuzzy synthetic evaluation enbedded taby search for risk programming of virtual enterprises[J]. Int. J. Production Economics,2008,116(1):104-114.

[3] 盧福強，黃敏，王興偉.基于PSO的虛擬企業(yè)風險管理的隨機規(guī)劃模型[J].系統(tǒng)仿真學報，2009,21(20)：6621-6625.

[4] OuYang Y P, Shieh H M, Tzeng G H. A VIKOR technique based on DEMATEL and ANP for information security risk control assessment[C]//Information Sciences,Article in Press.2011.

[5] 應凌云，楊軼.軟件動態(tài)分析與信息系統(tǒng)安全[J].中國科學院院刊，2011,26(3)：310-315.

[6] 付鈺，吳曉平，葉清.基于改進FAHP-BN的信息系統(tǒng)安全態(tài)勢評估方法[J].通訊學報，2009,30(9)：135-140.

[7] 闕喜戒，孫銳，龔向陽.信息安全原理及應用[M].北京：清華大學出版社，2003:1-50.

[8] Ebru Yeniman Yildirima, GizemAytacb, Nuran Bayramb. Factors influencing infrmation security management in small-an medium-sized enterprises: Acase study from turkey[J]. International Journal of Information Management,2011,31(4):360-365.

[9] 林夢全，王強民，陳秀真，等.基于粗糙集的網(wǎng)絡信息安全評估模型研究[J].控制與決策，2007,22(8)：951-955.

[10] Lo C C, Chen W J. A hybrd information security risk assessment procedure considering interdependences between controls[J]. Expert Systems with Applicationsm,2013,39(1):247-237.

[11] Mc Clelland, David C. Testing for competence rather than for intelligence[J]. American Psychologist,1973,28(1):1-14.

[12] Boyatzis T E. The competent management:a model for effective performance[M]. New York: John Wliey,1982:1-20.

[13] Spencer L M, Spencer S M. Competence at work: models for superior performance[M]. [S.l.]: John Wliey & Sons, Inc.,1993:1-50.

[14] Keng Siau, Xin Tan, Hong Sheng. Important characteristics of software development team members:an empirical investigation using repertory grid[J]. Information System Journal,2010,20(6):563-580.

[15] 姜昱汐，遲國泰，嚴麗俊.基于最大熵原理的線性組合賦權方法[J].運籌與管理，2011,20(1)：53-59.

[16] 賈建鋒，趙希男，孫世敏.基于比較優(yōu)勢的組織績效評價方法及實證研究[J].KEYAN GUANL,2011,32(2):151-159.

[17] Opricovic S, Tzeng G H. Extended VIKOR method in comparison with outranking methods[J]. European Journal of Operational Research,2007,17(2):514-529.

Information security competency evaluation model for virtual enterprise

SHI Yi-ming, WU Mu-lin, ZHENG Xin

(School of Economic and Trade, Anhui Business College, Wuhu 241002， China)

By analyzing the characteristics and competency of information aggressive behavior among the virtual enterprise members, we establish both the index system and mathematical model of competency feature evaluation t for the virtual enterprise members. Based on security risk protection, the model is divided into two sections which take into account the personality of the decision makers and individuality of the team members. The example shows that the model is effective and practical.

virtual enterprise members; evaluation; model; information security.

2014-05-25

安徽省高等學校省級重點質(zhì)量工程項目(2012ZY108); 安徽商貿(mào)職業(yè)技術學院資助項目(ZL201101,ZL201212)

史一鳴(1986-)，女，漢族，吉林長春人，安徽商貿(mào)職業(yè)技術學院助教,碩士，主要從事虛擬企業(yè)組織管理、營銷與策劃方向研究,E-mail:sym727@126.com.

F 224

A

1674-1374(2014)06-0616-06